ما هي المصادقة بدون كلمة مرور (Passwordless authentication)؟
المصادقة بدون كلمة مرور (Passwordless authentication) هي طريقة مصادقة تسمح للمستخدمين بتسجيل الدخول إلى أنظمة الكمبيوتر دون إدخال (أو تذكر) كلمة مرور أو أي سر آخر يعتمد على المعرفة.
على سبيل المثال، عندما تقوم بفتح هاتفك الذكي باستخدام بصمة الإصبع أو التعرف على الوجه، أو عندما تتلقى رمزًا لمرة واحدة عبر الرسائل القصيرة لتسجيل الدخول إلى حساب بريدك الإلكتروني - هذه كلها طرق شائعة للمصادقة بدون كلمة مرور نستخدمها في حياتنا اليومية.
ما هي أنواع المصادقة بدون كلمة مرور (Passwordless authentication)؟
هناك عدة أنواع شائعة من المصادقة بدون كلمة مرور (Passwordless authentication) التي نواجهها في حياتنا اليومية:
المصادقة البيومترية
تستفيد المصادقة البيومترية من خصائصنا الفيزيائية الفريدة للتحقق من الهوية، وذلك بشكل أساسي من خلال مسح بصمات الأصابع، والتعرف على الوجه، ومسح القزحية. نواجه هذه في مواقف الحياة اليومية:
- فتح جهاز iPhone الخاص بك باستخدام Face ID أثناء شراء القهوة
- تسجيل الدخول إلى تطبيق البنك الخاص بك باستخدام بصمة الإصبع
- الوصول إلى مرافق آمنة باستخدام ماسحات القزحية
الروابط السحرية (Magic links)
الروابط السحرية هي روابط خاصة للاستخدام لمرة واحدة تُرسل إلى بريدك الإلكتروني، وتوفر تجربة مصادقة سلسة. ستجدها في العديد من الخدمات الشهيرة:
- النقر على رابط “تسجيل الدخول” من Slack في بريدك الإلكتروني
- خيار “تسجيل الدخول بالبريد الإلكتروني” في Medium الذي يرسل لك رابط تسجيل الدخول
- نظام المصادقة القائم على البريد الإلكتروني في Notion
اطلع على الروابط السحرية (Magic link) لمزيد من التفاصيل.
الرموز لمرة واحدة (OTP)
الرموز لمرة واحدة، التي تُرسل عادة عبر الرسائل القصيرة أو البريد الإلكتروني، تمثل واحدة من أكثر الطرق انتشارًا للمصادقة بدون كلمة مرور:
- تلقي رمز مكون من 6 أرقام لتسجيل الدخول إلى حساب Google الخاص بك
- الحصول على رمز التحقق للمعاملات المصرفية عبر الإنترنت
- استخدام تطبيق مصادقة مثل Google Authenticator
اطلع على كلمة مرور لمرة واحدة (One-time password, OTP) لمزيد من التفاصيل.
مفاتيح المرور (Passkeys)
مفاتيح المرور (Passkeys) هي بدائل آمنة تعتمد على FIDO لكلمات المرور التقليدية التي تستخدم التشفير المتقدم لحماية حساباتك من هجمات التصيد الاحتيالي. إليك كيف تعمل:
- فريدة لكل خدمة: عند التسجيل في خدمة، يقوم جهازك بإنشاء مفتاح مرور فريد مرتبط بنطاق تلك الخدمة المحددة
- مبنية على الأجهزة: تُخزن مفاتيح المرور عادة في وحدات أمان الأجهزة، إما مدمجة في أجهزتك أو كمفاتيح أمان منفصلة
- أزواج مفاتيح عامة وخاصة: يخزن الجهاز المفتاح الخاص بأمان بينما يشارك المفتاح العام مع الخدمة. هذه الأزواج من المفاتيح التشفيرية هي ما نسميه مفاتيح المرور
- أمان الأجهزة: العديد من مفاتيح المرور محمية بوحدات أمان الأجهزة المخصصة، مما يجعل من الصعب للغاية اختراقها
- مزامنة عبر الأجهزة: يمكن مزامنة مفاتيح المرور بأمان عبر الأجهزة باستخدام التخزين السحابي (مثل iCloud Keychain من Apple أو Google Password Manager)
سيناريوهات الاستخدام الشائعة:
- استخدام مفتاح أمان USB للوصول إلى حاسوبك المحمول في العمل
- النقر على هاتفك (كمفتاح أمان) لتسجيل الدخول إلى حساب Google الخاص بك
- توصيل مفتاح أمان الأجهزة للوصول إلى الأنظمة ذات الأمان العالي
اطلع على مفتاح المرور (Passkey) لمزيد من التفاصيل.
لماذا نستخدم المصادقة بدون كلمة مرور (Passwordless authentication)؟
لعقود من الزمن، كانت كلمات المرور هي الطريقة الافتراضية للمصادقة. حتى اليوم، تعتمد معظم حساباتنا عبر الإنترنت على كلمات المرور. ومع ذلك، يواجه هذا النهج التقليدي تحديات متزايدة، مما يجعلنا نتساءل: لماذا يجب أن نستخدم المصادقة بدون كلمة مرور (Passwordless authentication)؟
كلمات المرور ليست آمنة بما فيه الكفاية
عندما تتعرض شركة لاختراق بيانات، يمكن كشف ملايين كلمات المرور دفعة واحدة. يمكن للمهاجمين استغلال هذه الكلمات بسهولة باستخدام أدوات آلية، خاصةً لأن العديد من المستخدمين يعيدون استخدام كلمات المرور عبر خدمات مختلفة. على سبيل المثال، إذا حصل مهاجم على كلمة مرور مستخدم من موقع ألعاب مخترق، فقد يتمكن من الوصول إلى حسابات البريد الإلكتروني أو الحسابات المصرفية لذلك الشخص باستخدام نفس بيانات الاعتماد.
اطلع على هذه المدونة لتتعلم كيف يتم اختراق كلمات المرور الخاصة بك؟ .
كلمات المرور صعبة الاستخدام والإدارة
فكر في إدارة حساباتك عبر الإنترنت: لديك عشرات الحسابات عبر مواقع وخدمات مختلفة، كل منها بمتطلبات كلمة مرور خاصة به. حتى إذا حاولت استخدام كلمة مرور متسقة، فإن سياسات كلمات المرور المختلفة تجبرك على إضافة أحرف خاصة أو أرقام أو إجراء تغييرات أخرى. يتطلب موقع واحد على الأقل حرفًا خاصًا، بينما لا يسمح آخر برموز معينة، ويطلب ثالث حدًا أدنى من 12 حرفًا.
عندما تحاول تسجيل الدخول، لا يمكنك تذكر أي تغيير استخدمته لهذا الموقع المحدد. هل كان الذي يحتوي على علامة التعجب في النهاية؟ أم الذي يحتوي على رمز ”@”؟ بعد عدة محاولات فاشلة، يتم قفل حسابك وعليك المرور بعملية إعادة تعيين كلمة المرور المرهقة مرة أخرى.
هذا السيناريو المحبط يتكرر ملايين المرات يوميًا عبر المنظمات، مما يؤدي إلى إعادة تعيين كلمات المرور باستمرار، وضياع الوقت، وانخفاض الإنتاجية.
المصادقة بدون كلمة مرور (Passwordless authentication) أكثر أمانًا من كلمات المرور
تخيل بدلاً من ذلك استخدام بصمة الإصبع أو التعرف على الوجه للوصول إلى جميع تطبيقات عملك. نظرًا لأن هذه العوامل البيومترية لا يمكن سرقتها أو تخمينها مثل كلمات المرور، حتى إذا اخترق مهاجم قاعدة بيانات الشركة، لا يمكنه استخدام هذه المعلومات لانتحال شخصية المستخدمين. بالإضافة إلى ذلك، توفر طرق المصادقة بدون كلمة مرور (Passwordless authentication) مثل مفاتيح الأمان حماية ضد هجمات التصيد الاحتيالي، حيث تتحقق من كل من المستخدم ومصداقية الموقع.
المصادقة بدون كلمة مرور (Passwordless authentication) سهلة الاستخدام
مع المصادقة بدون كلمة مرور (Passwordless authentication)، يصبح الوصول إلى حساباتك بسيطًا مثل فتح هاتفك الذكي.
على سبيل المثال، عندما تتلقى إشعار دفع على هاتفك للموافقة على محاولة تسجيل الدخول، يمكنك المصادقة بنقرة واحدة أو نظرة سريعة على جهازك. هذه التجربة السلسة تلغي العبء المعرفي لتذكر كلمات مرور متعددة مع الحفاظ على معايير أمان عالية.
كيف تعمل المصادقة بدون كلمة مرور (Passwordless authentication)؟
تعتمد المصادقة عمومًا على ثلاثة أنواع من العوامل:
- شيء يعرفه المستخدم: مثل كلمات المرور أو الأرقام السرية
- شيء يمتلكه المستخدم: مثل الأجهزة الفيزيائية أو الرموز
- شيء هو المستخدم: مثل السمات البيومترية.
تبتعد المصادقة بدون كلمة مرور (Passwordless authentication) عن النهج التقليدي “شيء تعرفه”، وتركز بدلاً من ذلك على العاملين الآخرين.
عند استخدام “شيء تمتلكه”، تبدأ عملية المصادقة عادةً بعنوان بريدك الإلكتروني أو رقم هاتفك. تخيل أنك تسجل الدخول إلى حسابك المصرفي - بدلاً من كتابة كلمة مرور، قد تتلقى رمزًا لمرة واحدة عبر الرسائل القصيرة أو البريد الإلكتروني. أو ربما قمت بإعداد تطبيق مصادقة على هاتفك يقوم بتوليد هذه الرموز تلقائيًا. ترسل بعض الخدمات حتى إشعارات دفع إلى هاتفك، مما يتيح لك ببساطة النقر على “موافقة” لتسجيل الدخول. لاحتياجات الأمان العالية، قد تستخدم مفتاح أمان فيزيائي يتم توصيله بجهازك، مشابه لإدخال مفتاح رقمي.
النهج “شيء أنت” هو أكثر بساطة وربما مألوف لك بالفعل. عندما تفتح هاتفك الذكي ببصمة الإصبع أو بالنظر إلى الشاشة للتعرف على الوجه، فأنت تستخدم المصادقة البيومترية. تستخدم بعض الأنظمة أيضًا التعرف على الصوت، حيث يمكن التحقق من هويتك من خلال نطق عبارة محددة. هذه العوامل البيومترية فريدة لك وتتم معالجتها بأمان على جهازك.
ما الفرق بين المصادقة بدون كلمة مرور (Passwordless authentication) والمصادقة متعددة العوامل (MFA)؟
تُذكر المصادقة بدون كلمة مرور (Passwordless authentication) و المصادقة متعددة العوامل (Multi-factor authentication, MFA) أحيانًا في سياقات مشابهة. لذلك، من الضروري تعريف هذين المصطلحين بشكل منفصل وفهم الفرق بينهما:
- تحل المصادقة بدون كلمة مرور (Passwordless authentication) محل المصادقة القائمة على كلمة المرور بعوامل أخرى.
- تشير MFA إلى استخدام عاملين أو أكثر من عوامل المصادقة للتحقق من هوية المستخدم.
“العوامل” هي بالفعل الأنواع الثلاثة المختلفة من معلومات التفويض التي ذكرناها سابقًا. على سبيل المثال، إذا استخدم المستخدم فقط عنوان البريد الإلكتروني + OTP أثناء المصادقة، فهذا عامل مرتبط بـ “شيء يمتلكه المستخدم”، ويمكننا اعتبار مصادقة المستخدم بدون كلمة مرور.
تشمل تطبيقات MFA الشائعة استخدام عامل مصادقة ثاني (بدون كلمة مرور) لتعزيز كلمة المرور، ولكن يمكن أن تكون MFA أيضًا بدون كلمة مرور تمامًا. على سبيل المثال، يمكن لتطبيق استخدام بصمة الإصبع كعامل المصادقة الأول وعنوان البريد الإلكتروني + OTP كعامل المصادقة الثاني.
ما الفرق بين المصادقة بدون كلمة مرور (Passwordless) وتسجيل الدخول الموحد (SSO)؟
تسجيل الدخول الموحد (SSO) (SSO) والمصادقة بدون كلمة مرور (Passwordless authentication) هما مفهومان متميزان في إدارة الهوية:
- يتعلق SSO بمركزية مصادقة المستخدم، مما يسمح للمستخدمين بالوصول إلى تطبيقات متعددة بتسجيل دخول واحد
- تركز المصادقة بدون كلمة مرور (Passwordless authentication) على كيفية إثبات المستخدمين لهويتهم دون استخدام كلمات المرور
بينما يخدمان أغراضًا مختلفة، يمكن أن يعملا معًا.
على سبيل المثال، يمكن لنظام SSO استخدام طرق بدون كلمة مرور (مثل البيومترية أو مفاتيح الأمان) للمصادقة. يوفر هذا المزيج كل من راحة تسجيل الدخول الموحد وفوائد الأمان للمصادقة بدون كلمة مرور.